Les responsables de la sécurité qualifient cette restauration de « scandaleusement incompétente », avertissant qu’elle supprime les contrôles critiques mis en œuvre après l’une des plus grandes violations de l’histoire des télécommunications.
Le gouvernement fédéral américain annule les mandats destinés à protéger les infrastructures critiques à la suite des attaques généralisées du typhon Salt.
La Federal Communication Commission (FCC) a annulé une décision déclaratoire de janvier 2025 exigeant que les fournisseurs de télécommunications américains adoptent et certifient des mesures de cybersécurité plus strictes. La décision est entrée en vigueur en vertu de la loi CALEA (Communications Assistance for Law Enforcement Act), qui oblige les fournisseurs et les fabricants de télécommunications à concevoir leurs services et équipements de manière à permettre la surveillance lorsque la loi le demande.
Mais ce revirement a été critiqué par le propre commissaire de la FCC, et les experts en sécurité voient la situation d’un mauvais oeil.
« C’est l’équivalent cybernétique d’accrocher un panneau « venez me frapper » sur les infrastructures critiques et la cybersécurité nationale », a déclaré David Shipley, PDG de Beauceron Security.
FCC : Décision déclaratoire « illégale et inefficace »
Les attaques Salt Typhoon, révélées en octobre 2024, ont touché certaines des plus grandes sociétés de communication américaines, et d’innombrables autres, les pirates informatiques accédant aux systèmes centraux utilisés par le gouvernement américain et interceptant potentiellement des informations hautement sensibles liées à des responsables de haut rang.
La décision déclaratoire de janvier a établi l’obligation légale pour les opérateurs de télécommunications de sécuriser leurs réseaux contre « l’accès et l’interception illégaux », soulignant qu’ils sont responsables non seulement de leur équipement, mais aussi de la manière dont ils gèrent leurs réseaux.
La décision comprenait un avis de proposition de réglementation (NPRM) obligeant les entreprises de télécommunications à créer, mettre à jour et mettre en œuvre des plans de gestion des risques de cybersécurité et à les certifier chaque année.
Cependant, cette semaine, la FCC a affirmé que la décision déclaratoire avait « mal interprété » CALEA, la qualifiant de « imparfaite » et « illégale et inefficace ».
Selon l’agence, leur action fait suite à « un engagement de plusieurs mois avec les fournisseurs de services de communication » au cours duquel ils ont démontré une « posture de cybersécurité renforcée » à la suite du typhon Salt.
Ces fournisseurs ont convenu d’entreprendre « des efforts étendus, urgents et coordonnés » pour protéger leurs réseaux contre les cyberattaques, atténuer les risques opérationnels, protéger les consommateurs et préserver les intérêts de sécurité nationale, selon la FCC.
La Commission a ajouté qu’elle avait pris « une série d’actions » pour renforcer les réseaux de communication et améliorer la sécurité. Cela comprend la création d’un Conseil de sécurité nationale qui collabore avec les partenaires de sécurité et l’adoption de règles ciblées pour les infrastructures critiques qui n’imposent pas « d’exigences rigides et ambiguës », comme un mandat selon lequel les licences de câbles sous-marins ne seront accordées qu’après la mise en place de plans de gestion des risques.
En outre, la FCC a interdit les « mauvais laboratoires », c’est-à-dire les sociétés de tests d’équipements détenues ou contrôlées par des adversaires étrangers (notamment la Chine), de son programme d’autorisation d’équipements afin de garantir qu’« aucune de ces entités ne soit soumise à des acteurs peu fiables qui présentent un risque pour la sécurité nationale ».
Le typhon de sel résonne toujours
Salt Typhoon a touché les principaux opérateurs, notamment AT&T, Charter Communications, Consolidated Communications, Lumen Technologies, T-Mobile, Verizon et Windstream. Mais les forces de l’ordre et les agences de renseignement préviennent que son impact est bien plus étendu, exposant au moins 200 organisations américaines, ainsi que des entités dans 80 autres pays.
Selon les enquêtes fédérales, l’attaque a permis au gouvernement chinois d’enregistrer des appels téléphoniques, de géolocaliser des millions de personnes et de cibler des individus spécifiques, notamment le président et le vice-président américains. Le groupe a initialement exploité les routeurs des fournisseurs de télécommunications, en utilisant les appareils et les connexions fiables pour accéder à d’autres réseaux et, entre autres actions, accéder aux informations sur les systèmes d’écoute électronique utilisés par les forces de l’ordre fédérales.
Salt Typhoon est « l’une des pires cyberattaques de l’histoire », a déclaré la sénatrice américaine Maria Cantwell, membre éminente de la commission sénatoriale du commerce, de la science et des transports, qui s’est fermement opposée à l’annulation de la décision.
La commissaire de la FCC, Anna M. Gomez, le seul membre de la FCC à avoir voté contre la décision, a noté que cette décision « laissera les Américains moins protégés qu’ils ne l’étaient le jour où la brèche du Salt Typhoon a été découverte ».
Le renversement « laisse le pays moins sûr »
La décision déclaratoire de janvier était « la seule mesure réglementaire fédérale concrète » prise en réponse à l’attaque du typhon Salt, a-t-elle noté. La tentative du groupe soutenu par la Chine ne sera pas la dernière, a-t-elle souligné ; en fait, sans contrôles de sécurité plus stricts, ce ne sera pas non plus « le dernier succès ».
« Le FCC laisse le pays moins sûr au moment même où ces menaces augmentent », a déclaré Gomez.
Le sénateur Cantwell a souligné que ce revirement est intervenu après un « lobbying intense » de la part des fournisseurs de télécommunications visés par Salt Typhoon. Elle avait précédemment demandé aux PDG de Verizon et d’AT&T de documenter la manière dont ils corrigeaient les exploits qui « ont profondément pénétré leurs réseaux », mais ils n’ont pas réussi à fournir cette information.
« Je crains que la décision (de la FCC) d’abandonner les exigences en matière de cybersécurité imposées aux transporteurs fasse partie d’un schéma de faiblesse sur les questions de sécurité nationale », a soutenu Cantwell.
Shipley de Beauceron était moins mesuré dans sa critique du revirement. Il l’a qualifié de « scandaleusement incompétent », en particulier à la lumière des dégâts causés par les pirates informatiques de l’État-nation chinois dans le secteur des télécommunications au cours des deux dernières années. Espérons que le Congrès interviendra, a-t-il déclaré.
En fin de compte, a-t-il déclaré, « j’aurais du mal à trouver une idée plus stupide que de revenir sur les normes de cybersécurité pour les fournisseurs de télécommunications ».
